malwarewikiaorg_it-20200215-history
CIH
}}Virus.Win9x.CIH, oppure semplicemente CIH, anche noto come Chernobyl o Spacefiller, è un virus per Microsoft Windows, che può infettare solo i sistemi operativi Windows 9x (Windows 95, 98 e ME). Scoperto per la prima volta in Taiwan il 25 giugno 1998, secondo le autorità di Taipei, è stato Chen Ing-Hau a comporre il virus CIH; il nome del virus deriva dalle sue iniziali. Il virus fece la maggior parte del suo danno a pochi mesi dalla apparizione di ExploreZip e Melissa. Contrariamente alla credenza popolare, la data di attivazione del payload non è basata sulla data del disastro nucleare di Černobyl'. Comportamento Quando un file infetto da CIH è eseguito su un sistema, il virus diventa residente ed infetta ogni file eseguibile aperto. I file infettati da CIH possono avere la stessa dimensione dei file originali, per via del modo di infezione originale di CIH. Il virus cerca spazi vuoti e inutilizzati, per poi dividersi in pezzi più piccoli ed inserisce il suo codice in questi spazi inutilizzati. Per questo, senza previa attivazione di una utilità specifica, una singola scansione dei virus può infettare più file nel sistema. CIH ha due payload che si attivano il 26 aprile: *Il primo sovrascrive l'hard drive con dati casuali, iniziando dal settore 0 e usando un loop infinito fino a quando il sistema si blocca o va in crash, rendendo impossibile l'avvio dall'hard drive. Questo payload può rendere impossibile il recupero di qualche dato nel disco. *Il secondo condivide tratti con Kriz, Magistr e Bumerang - tenta di causare danno permanente al computer. Questo payload attacca il Flash BIOS e cerca di corrompere i dati ivi depositati riempiendoli di spazzatura se il computer lo supporta tramite i primi processori basati su Pentium. Come risultato, nulla viene mostrato quando l'utente avvia il computer. Se il chip-set non supporta il secondo payload (per esempio, il processore è una nuova generazione di Pentium oppure altri come Pentium Pro, 2, 3, 4 o più recenti) oppure se il write-protect jumper del BIOS è abilitato nella scheda madre, il secondo payload fallirà e il computer potrà ancora essere avviato, ma quasi tutti i dati saranno rimossi e il computer mostrerà un errore come "Sistema operativo mancante" all'avvio. I file host su un computer sono al sicuro nelle macchine virtuali, ma la macchina virtuale sarà danneggiata e potrà essere resa non avviabile se il secondo payload viene applicato con successo. Il virus può diffondersi solo sui sistemi Windows 9x (95, 98 e ME) e non è più comune. Qualsiasi altro sistema operativo non sarà colpito perché il 26 aprile, il virus non fa niente sui file infetti. Rimozione Fix-CIH riesce a ricostruire l'hard drive se il secondo payload fallisce. L'utente deve avviare il computer con un CD di avvio di Windows ed eseguire questa utilità. I risultati variano da sistema a sistema. Dopo che il programma ha finito e prima del riavvio, la data deve essere impostata a (ben) prima della data di attivazione del payload, in modo che questi non abbia più effetto al riavvio. Kill-CIH dovrà essere eseguito dal prompt dei comandi; l'utente può effettuare una scansione virus per riparare i file rimanenti. Se non tutti i file sono puliti, l'utente può cancellare i file infetti oppure avviare tramite CD di avvio di Windows e copiare i file nel drive per sovrascrivere quelli infetti. È consigliato usare il comando Trova, cercando "*.vir" e cancellando i file trovati nel drive. Si raccomanda anche di eseguire una successiva scansione virus e il sistema dovrebbe essere completamente pulito; impostare la data com'era prima dell'infezione e poi l'utente potrà cancellare il virus se questi si trova ancora nel sistema. Effetti In Corea, è stato stimato che un milione di computer sono stati colpiti, causando $250 milioni in danni. I computer alla Boston College furono infettati e alcuni vennero distrutti; in questo modo, molti studenti persero i loro appunti prima degli esami. 200 computer a Singapore e 100 ad Hong Kong vennero colpiti dal virus, assieme a molti altri nel mondo. Dieci grandi compagnie in India vennero colpite dal virus. Il virus si diffuse per la prima volta tramite software piratato nell'estate del 1998; almeno quattro gruppi pirati vennero infettati durante quell'estate. Ci furono anche notizie non confermate che il virus apparve in una "copia craccata da PWA (Pirates With Attitude)" di Windows 98. Dall'estate del 1998 alla primavera del 1999, alcune compagnie rilasciarono accidentalmente software infettato. I sistemi Origin rilasciarono un download infettato correlato al gioco "Wing Commander". Tre riviste di gaming europee consegnarono CD infetti da CIH e, presumibilmente, un altro incluse pure una nota che informava gli utenti del virus e suggerendo di disinfettare i computer dopo l'utilizzo del CD. Nome CIH prende il nome dalle inziali del creatore Chen Ing-Hau. Il suo altro nome, Chernobyl, deriva più che altro dalla data di attivazione del payload, il 26 aprile, la stessa data del disastro di Černobyl'; siccome la citazione ad un famigerato disastro avrebbe avuto più impatto mediatico di tre iniziali, questo nome fu utilizzato con frequenza dalla stampa. Alias usati dagli antivirus * Nome completo della Virus Encyclopedia: * Avast!: Win95:CIH * Avira: W95/CIH.A * ClamAV: CIH.2 * Doctor Web: Win95.CIH.1003 * Eset: Win95/CIH * F-Prot: W32/CIH.1019.A * Grisoft: Win32/CIH * Kaspersky Lab: Virus.Win9x.CIH alias: Win95.CIH * McAfee: W95/CIH.1019a * Panda: W95/CIH * RAV: Win95/CIH.1003 * Bitdefender: Win95.CIH.Gen * Sophos: W95/CIH-10xx * Symantec: W95.CIH * Trend Micro: PE_CIH.1003 * Vexira: Win95.CIH Altri fatti Alcuni hanno espresso scetticismo circa la capacità del virus di distruggere un BIOS del computer. Non ci furono casi confermati di un BIOS distrutto per effetto di CIH. Un esperto di virus speculò addirittura che le notizie di corruzioni o distruzioni di BIOS erano un piano per indurre la gente a scartare computer perfettamente funzionanti, in modo che venissero rivenduti al mercato nero; costui speculò anche che molte vittime presunte del virus, tutte impazienti di buttare via i vecchi computer, diedero la colpa al virus per problemi minori e dissero all'amministrazione di aver bisogno di nuovi strumenti. I costi stimati dei danni potrebbero venire in realtà dai nuovi computer anziché riparazioni e tempo/lavoro sprecato. Si pensava che la data di attivazione del virus (26 aprile 1999) fosse inserita per commemorare il disastro di Černobyl'; in realtà, tale data coincide con il compleanno di Chen. varianti di questo virus sono state scoperte anche nel tardo 2002. Una variante rilasciata nel 2001 era allegata ad uno script VBS che usava ingegneria sociale sotto forma di promettere un'immagine di Jennifer Lopez nuda, inducendo l'utente ad aprirla. *CIH v1.2/CIH.1103: Activates on April 26, contains string CIH v1.2 TTIT *CIH v1.3/CIH.1010A and CIH1010.B: CIH v1.2 with string CIH v1.3 TTIT *CIH v1.4/CIH.1019: Activates on the 26th of any month. *CIH.1049: Activates on August 2 Esiste anche una versione worm di CIH, chiamata Bumerang. Sebbene Bumerang abbia un periodo di latenza tra infezione e payload, esso attacca intere reti in un modo ugualmente distruttivo. Sources MSNBC. ZDnet, CIH Virus Finds New Victims. 1999.04.26 Motoaki Yamamura. Symantec.com W95.CIH Greg Sandoval, CNet. ZDNet, Virus Dresses up as Naked Jennifer Lopez. 2001.06.01 Thor Olavsrud. InternetNews, Promises of Jennifer Lopez Nude Deliver Destructive Virus 2001.06.01 Rob Rosenberger. Vmyths.com, 'The mother of all viruses,' part 2. 1998.08.15 -.-, Another urban legend in the making. 1999.04.29 F-Secure Antivirus, CIH Videos en:CIH uk:CIH Categoria:Virus Categoria:Windows 9x